Amerikaans burgerservicenummer deels gekraakt

In een eerste poging wisten Alessandro Acquisti en Ralph Gross, verbonden aan de Carnegie-Mellon Universiteit in Pittsburgh, de eerste 5 cijfers van het SSN in 44 procent van de gevallen correct te voorspellen. Alle 9 cijfers bleken juist te zijn in 8,5 procent van de gevallen na minder dan duizend pogingen. Hackers zouden de laatste 4 cijfers vrij eenvoudig kunnen achterhalen door een klein aantal varianten uit te proberen, bijvoorbeeld bij commerciële online-diensten die de kredietwaardigheid van burgers controleren.

De onderzoekers maakten gebruik van openbaar beschikbare informatie om de nummers van willekeurige burgers te deduceren. Ze wisten al dat geboortedatum en woonplaats ingrediënten van het SSN zijn. Veel gebruikers van sociale netwerksites zoals Facebook vermelden deze gegevens in hun profiel.

Een andere bron van informatie voor het ontrafelen van de SSN-berekening was het Death Master File, een register van overleden personen met hun SSN's. Dit bestand is openbaar om hergebruik van eerder uitgegeven nummers te voorkomen. Door analyse van de gegevens van overledenen tussen 1973 en 2003 konden de onderzoekers bepaalde patronen ontdekken.

Juist door combinatie van gegevens uit diverse openbare bronnen is het mogelijk veel informatie over individuen te vergaren. Acquisti waarschuwt gebruikers dan ook niet scheutig te zijn met het vermelden van persoonlijke gegevens op sociale netwerksites.

De onderzoekers hebben hun bevindingen gepubliceerd (PDF) in de Proceedings of the National Academy of Science (PNAS). Ook hebben ze de overheid geadviseerd voortaan 'random' nummers te gebruiken. Volgens de Social Security Administration is er geen reden tot zorg omdat de beschreven methode niet feilloos is. Verder wil de overheid in 2010 een nieuw systeem invoeren met willekeurig gegenereerde SSN's, maar dat zou losstaan van het onderzoek van de Carnegie Mellon Universiteit.